SIEM: Dado não é informação

Produtos de SIEM (Security Information Management e Security Event Management) já não são novidade há quase 10 anos - assunto vasto e muito discutido, tanto no meio acadêmico quanto nas grandes corporações.

O ponto em questão é que os dados fluem nos sistemas computacionais e geram registros dos mais variados: de um Mainframe na nuvem à cafeteira na copa da empresa. Isso mesmo! Para algumas empresas nos USA até os dados de uso da cafeteira são utilizados para medir a saúde e hábitos de seus profissionais. Em suma, depende do que o negócio precisa entender e controlar. E no caso de segurança, é proteger.

Podemos encontrar muitos dados importantes nos registros de equipamentos e de quaisquer ativos de informação. Porém, para se extrair a informação é necessário identificar padrões, criar perfis e aplicar, posteriormente, correlações para a descoberta de anomalias, tendências e comportamentos, a fim de determinar desvios.

Contudo, é necessário entender de onde se deve extrair a informação e qual valor ela possui para a organização. Nestes dias de ataques persistentes, entender taticamente um ambiente de modo a identificar, mitigar e erradicar atacantes é fundamental, mas, de fato, pouca gente entende a relevância dos registros, ou seja, a informação contida nos dados.

Analisar dados no âmbito de se obter informação também não é novidade. Há mais de 20 anos analistas financeiros usam ferramentas de Data Mininge sistemas BI (Business Intelligence) para determinar crédito, apoiar decisões de negócio e analisar mercados, ou seja, obter informações e a partir delas tomar decisões rápidas e estratégicas baseadas em dados escolhidos de fontes relevantes.

Os conceitos de BI (Business Intelligence) e SIEM são bem parecidos e, em ambos os casos, busca-se determinar Exposição, Riscos, Ganhos e Perdas. No caso do SIEM não estamos falando de ganhar dinheiro e sim, salvar dinheiro. Do mesmo modo que sistemas de BI precisam de analistas para interpretar as informações e tomar decisões de negócio, um sistema de SIEM também necessita de analistas de segurança para observarem e interpretarem as informações de modo a responderem a um incidente de segurança rapidamente e proteger o negócio de perdas financeiras.

Sistemas mais modernos de SIEM não são determinísticos (não usam “sim” ou “não”) mas trabalham mais próximos da lógica humana e fazem correlações baseadas em possibilidades e probabilidades, ou seja, focam em analisar os desvios.

Assim como um analista financeiro estuda os mercados e suas fontes de dados relevantes, o analista de segurança deve analisar de quais ativos de valor é necessário extrair dados e posteriormente processar os mesmos atrás de inteligência no que tange a segurança da informação. Para que o SIEM de fato traga a Inteligência (Estratégica, Tática e Operacional) é necessário que os dados dos ativos possuam valor para a detecção, a triagem e a análise para acelerar a resposta a um incidente.

Outra coisa importante a salientar, é que a correlação de logs é o principal objetivo de um SIEM. Porém, os ativos que serão analisados realmente devem possuir a informação necessária para que a reação e a tomada de decisões em um incidente de segurança seja feita no menor tempo hábil possível e com precisão. De forma nenhuma, ter um SIEM exclui a necessidade da interpretação humana. Um incidente deve ser analisado por um profissional de segurança que seja apto a validar uma determinada situação dentro de uma organização.

Muitas implementações de SIEM podem ser frustrantes por terem apenas a preocupação de estarem aderentes a normatizações (reter logs) ou pensar que o papel do analista de segurança será feito por um sistema. Não focar nos principais objetivos de um sistema de SIEM é que gera estas interpretações errôneas (às vezes míticas) do que um SIEM de fato é,e o que ele pode fazer para a organização. Um sistema de SIEM é uma ferramenta para o profissional de segurança ganhar tempo, obter informação relevante e diminuir o tempo de resposta a um incidente de segurança.

Entender o ambiente no qual o SIEM será inserido é primordial em projetos desta natureza. Saber posicionar a ferramenta de modo a coletar dados dos ativos estratégicos e obter o máximo de informações com pensamento tático é o que proporcionará a detecção de anomalias em um ambiente e isto de fato acelera o processo para mitigar e erradicar ataques persistentes.

O que é sempre importante ter em mente é que dado não é informação e que sistemas de SIEM são ferramentas para complementar e apoiar processos de resposta a incidentes dentro de uma organização. Sempre é necessário que o profissional de segurança saiba extrair informação dos dados contidos nos ativos e use a inteligência da ferramenta com uma visão tática e estratégica de suas fontes de dados.

. Por: Wander Menezes, gerente de Serviços da Arcon serviços gerenciados de segurança